Cybersäkerhetsincidenter: De rätta reflexerna
För att underlätta arbetet för digitala utredningsgrupper måste man ha rätt reflexer både före och efter en cyberattack.
De många incidentoperationer som Orange Cyberdefense har kunnat genomföra har gjort det möjligt att identifiera återkommande beteenden hos offren, med målet att snabbt återställa IT-utrustningen. Dessa åtgärder, som påverkas av affärsrestriktioner, kan dock fördröja eller till och med blockera analysen av incidenten. Syftet med den här artikeln är att presentera och förklara de vanligaste felen som vi har observerat, samt de goda rutiner som bör tillämpas för att framgångsrikt genomföra incidenthanteringstjänsten, samtidigt som man bibehåller en minimal påverkan på företagets produktion.
Fel #1: Radering av bevismaterial
Stänga av maskinen utan att göra en rationell kopia av RAM-minnet*.
I ett operativsystem är vissa data beständiga när datorn startas om, medan andra är flyktiga och försvinner när datorn stängs av. Bland dessa flyktiga data finns följande:
- Etablerade nätverksanslutningar
- Pågående processer och deras resurser
Malware kan exekveras direkt från en process utan att skrivas på disken. Till exempel kan sårbarheten MS17-10, mer känd som EthernalBlue, som utnyttjar en brist i SMBv1-protokollet, göra det möjligt att köra godtycklig kod (RCE**) direkt i Windows-kärnan. Angriparen kan sedan ändra en process för att avleda den från sin ursprungliga verksamhet utan att skriva en fil på disken.
| Rekommenderad good practice |
| I detta fall rekommenderar vi att ni gör en logisk kopia av RAM-minnet innan ni stänger av arbetsstationen, vilket gör det möjligt att hitta de modifierade kärnstrukturerna och på så sätt identifiera den ursprungliga kompromissvektorn. |
Kör en antivirusskanning av hela disken utan att vidta några försiktighetsåtgärder.
Användningen av ett antivirusprogram rekommenderas starkt om ni följer vissa regler för korrekt användning:
- Konfigurera det så att det uppdaterar sin signaturdatabas regelbundet;
- Tillåta återställning av objekt som har satts i karantän.
En föråldrad signaturdatabas minskar nämligen upptäcktsfältet för nya hot.
| Rekommenderad good practice |
| Efter infektionen måste hotet avlägsnas så snart som möjligt, efter en systematisk karantän av alla oönskade element. Analytikern kommer att kunna hämta de element som finns i den och identifiera dem. I de flesta fall är denna identifiering mer detaljerad än en antiviral signatur, som ofta är generisk. Den exakta identifieringen av den familj som malware tillhör kan i sin tur ge en rad ledtrådar till den ursprungliga kompromissvektorn, eftersom dessa två faktorer i viss mån är korrelerade. |
Frivillig radering av användarens aktivitetsuppgifter.
En anställd är naturligtvis ovillig att dela med sig av sin aktivitetshistorik på sin professionella dator, oavsett om det handlar om hans navigeringshistorik, hans dokument, hans tillfälliga nedladdningsmapp eller den installerade programvaran.
Att avinstallera en piratkopierad version av programvaran eller radera webbläsarhistorik, till exempel, kommer inte att ta bort den slutliga laddningen av spridd malware, men det kommer att sakta ner identifieringen av källan till kompromissen. Till exempel kan den kronologiska analysen av angriparens handlingar till och med blockeras när användaren har raderat ett phishing-e-postmeddelande, och det enda beviset vi har är i form av ett arkiv av användarens brevlåda.
| Rekommenderad good practice |
| Behåll aktivitetshistoriken, även det skadliga e-postmeddelande som användes för att genomföra cyberattacken. |
Fel #2: Felaktig hantering av loggar
Lagring av loggar endast på den infekterade maskinen
Som standard loggar en server (Windows eller Linux) sina händelser i sitt eget filsystem. Användningen av verktyg för outsourcing av loggar säkerställer loggarnas integritet om maskinen äventyras (radering och/eller ändring av loggar).
En angripare med administratörsrättigheter på en maskin kan ändra loggar. En angripare som har bråttom eller som inte behöver vara diskret kommer helt enkelt att radera dem och på så sätt ta bort en värdefull informationskälla från analytikern. En mer diskret angripare kommer att vilja dölja sina spår genom att subtilt ändra loggarna. Denna förändring kommer att kraftigt minska förtroendet och tilliten till bevisen.
Vi fick tblev exempelvis konfronterade med ett incident response uppdrag,x att svara på en incident med en flotta av maskiner som drabbats av ett ransomware. Alla diskpartitioner hade krypterats, vilket gjorde dem oanvändbara.
| Rekommenderad good practice |
| Förvara loggarna på en extern disk så att de är tillgängliga i händelse av en cyberattack. |
Att behålla loggar för korta perioder
En för kort lagringsperiod för loggar kan förhindra att den ursprungliga källan till ett intrång hittas.
| Rekommenderad good practice |
| Man måste hitta en balans mellan den önskade lagringstiden, ordrikedomen och storleken på loggarna, eftersom dessa tre faktorer påverkar varandra. Det bör också noteras att ordalydelsen inte får vara för låg för att man skall kunna använda de registrerade uppgifterna på ett korrekt sätt. En alltför detaljerad logg som inte innehåller säkerhetshändelser är oanvändbar. |
Använda format som är för komplicerade att använda
Formatet för lagring är också en faktor som inte får förbises. Hundratals PDF-sidor med användarens händelser är till exempel inte det lämpligaste formatet för att skicka data till bearbetningen. Inte heller skärmdumpar eller tidningsbilder som tagits i telefon är idealiska.
| Rekommenderad good practice |
| Ett format som ligger så nära det som genereras av maskinen som möjligt är det lämpligaste för analys, så att spårbarhetskedjan kan garanteras. |
Cybersäkerhetsincidenter: De rätta reflexerna, verktyg som genererar spår som liknar en angripare
För att underlätta utförandet av dagliga affärsuppgifter kan människor frestas att använda verktyg från tredje part. Dessa verktyg ingår inte i det paket som IT-teamet tillhandahåller och efteranalyser av en maskin kan leda till falska ledtrådar, vilket gör att analysen blir mycket långsammare.
Vi tänker på verktyg som PsExec, en schweizisk armékniv som används av systemadministratörer men också av angripare för att göra sidoförflyttningar i företagets interna nätverk.
| Rekommenderad good practice |
| Använd endast de säkerhetsverktyg som tillhandahålls i företagets säkerhetsprotokoll. |
Fel #3: Dålig hantering av förseningar i bevisinsamlingsfasen
Fördröjning mellan upptäckt av incident och insamling av bevis
Företag som inte har en aktuell inventering kan få problem med att fysiskt identifiera en arbetsstation som behöver samlas in (t.ex. på grund av en distansanställd eller för att de har många platser runt om i världen).
De största riskerna i samband med denna latenstid för insamling är att de äldsta spåren går förlorade (rotation av händelseloggen).
Rekommenderad good practice |
| Samla in uppgifter regelbundet och gör inventeringar som uppdateras regelbundet så att digitala utredningsgrupper kan påbörja sin utredning så snart som möjligt. |
Sammanfattningsvis
Som vi har sett är det viktigt att snabbt säkra bevis efter en kompromiss för att säkerställa att en incidenthanteringstjänst utförs under bästa möjliga förhållanden. Denna säkerhet kräver en logisk kopia av RAM-minnet samt en fysisk kopia av hårddisken vid misstanke. När detta insamlingssteg har slutförts kan en ominstallation av tjänsten eller till och med operativsystemet genomföras utan risk för förlust av bevis som är användbara för analys.
Före händelsen rekommenderar vi att ni regelbundet kontrollerar er förmåga att isolera en eller flera maskiner samt att läsa de händelseloggar som sparats på ett enkelt sätt.
Notes
*Random Access Memory
**Remote Code Execution